태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

현재의 취약성 및 위협 동향과 향후의 위협과 대응

최근 동향을 보면 다음과 같이 요약이 가능합니다.

 

* 클라이언트 단위의 위험 증가 ( 개인 PC 에 대한 중점적인 공격 )

해외에서는 피싱등을 이용한 공격이 증가하고 있고 국내에는 직접적인 클라이언트 PC 공격 및 취약성을 이용한 악성코드 설치가 주된 유형입니다.

* 일반 Application에 대한 공격 증가

버그트랙이나 기타 메일링을 보아도 운영체제 등에 대한 취약성 보다는 운영체제 기반하에서 영리 목적이나 운영을 목적으로 코딩된 솔루션에 대한 취약성이 집중되고 있습니다.)


* 보다 더 집중화된 Bot의 공격

일전에 Bot 관련된 언급을 하면서 Monster Bot 이라는 용어를 언급한 적이 있습니다. 취약성이 나올때 마다 공격 기능이 하나씩 더 추가가 되어 하나의 Bot이 공격하는 공격의 가지수가 지속적으로 늘어나는 유형이죠. 또한 운영체제의 구분 없이 Application 에 대한 공격 유형도 첨가 되는 형태라 가히 Monster bot으로의 지속적인 진화가 예상 됩니다. )

* Application Worm의 일반화 가능성 매우 증대

특정 국가 , 특정 지역 , 특정 회사에 기반하여 사용되고 있는 Application 자체의 취약성을 통해 전파되고 통신망을 무력화 하는 공격이 매우 증가할 것으로 판단 됩니다. 무선 관련이나 블루투스 관련된 웜의 전파도 동일 유형이라고 보시면 됩니다.)

 

위와 같이 요약이 됩니다.


또한 향후 발생할 위협을 정리 해보면 다음과 같이 정리가 됩니다.

 


향후 지속될 위협 :

 

* 오래전 부터 언급한 기반시설의 IP 전환 및 온라인 노출이 많아 짐으로 인한 위협의 현실화

   ( 기반시설의 위협에 관한 문서를 참고 하시면 됩니다.)

   너무 빨리 문제제기를 한 면이 있지만 향후 지속적으로 일반화 될 것으로 예상 됩니다.


* 무선 및 WiBro , DMB의 활성화를 통한 웜 전파  ( 요건 스마트폰 및 기타 매개체로 변경 될 수 있겠네요)

   (IP 기반의 모든 머신에 해당이 될 것이며 이 경우에는 프로토콜 간의 Gateway의 보안설정 이나 허용 조건에 따라 보다 많은

   편리성을  제공할 경우 광범위하게 전파가 될 것으로 판단됩니다. )


* 보안 인력의 부재 지속

  (전문성이 지속적으로 떨어지고 있는 현실에서 각 영역을 종합적으로 대처할 수 있는 보안 인력은 수요는 급증하나

  인력은 계속 부재한 상황이 지속 될 것입니다. )

 

시스템 , Application , 네트워크 , 종합적인 대응 , 보안 체계 수립 이 모든 분야를 컨트롤 할 수 있는 마스터급의 보안 인력은 향후 매우 부족하게 될 것으로 판단 됩니다. 또한 Penetration Test의 영역이 매우 확장이 되어 상당히 많은 부분을 커버하게 될 것으로 예상이 됩니다. 물론 수요도 많이 있을테지만 국내의 현실상 오랜기간 숙달된 인력이나 전문성을 유지하고 있는 인력의 부재로 힘겨운 상태가 지속이 될 것 같네요. 협상력만 잘 보완 한다면 적절한 전문성을 유지한 인력의 경우 상당히 좋은 대우를 받을 수도 있을 것 같습니다.


* Application 취약성 발견 지속 및 클라이언트 공격 , 피싱 공격을 통한 이익 추구 일반화

(올해도 지속이 되었듯이 향후에도 지속이 될 가능성이 높습니다. 또한 신규 프로토콜 상의 문제를 이용한 새로운 유형의 공격들이 나올 가능성이 높다고 판단됩니다. 특히 무선 관련된 802.X 대역에 대한 문제 출현 가능성이 높습니다. )


* Bot Network의 복잡화 및 일반화

(Bot 공격의 복잡성은 향후 지속적으로 증가 될 것이고 말 그대로 MonsterBot으로의 진화가 진행 중이며 더욱 심화 될 것으로 판단됩니다. 또한 일반적으로 알려지는 고유명사화 될 정도로 피해를 입힐 수 있을 것 입니다.)


* 수정 할 수 없는 Application 결함의 증가

(취약성을 수정하거나 보완의 책임이 없는 공개 소프트웨어 혹은 개발사의 몰락으로 인한 위험성 증가 )


위와 같이 예상이 가능합니다.

이에 대한 대응 및 보안 활동으로는 다음과 같은 행위가 이루어 질 수 있습니다.


대응 및 발생 현상 :

 

*Application 개발 프로세스 단계에서의 보안성 검토 일반화

*Application 취약성 진단 도구의 활성화

*웜의 일반 PC 침투에 따른 PC 보안 강화
( 패치 및 PC 솔루션 회사들 기회가 될 수도..)

*바이러스 및 웜 제작의 일반화에 따른 보안의 어려움 따라서 능력이 있는 회사의 경우 자체 제작이나 변형의 요구에 따른 매뉴얼 보안 툴의 출현 가능성 ( clam 백신처럼...)

* 공격에 대응하는 속도를 따라가지 못함으로 인해 지속적인 피해 속출 가능성

* 보안 전문 인력의 이탈 가속화
( 노력에 대한 성취도가 매우 낮아 질 것으로 보임.. 노력을 기울여야 하는 부분은 매우 많아 질 것이나 그에 따른 성취도는 낮으며 업무강도 및 피로도는 급증 할 것으로 예상됨 )

* 위의 항과는 반대로 보안 인력풀은 산업의 요구에 의해 지속적으로 증가 요청이 있을 것임. 그러나 전반적인 하향 평준화는 어쩔 수 없을 것으로 예상됨.

 

기타


*MS 등의 OS 벤더의 기타 사업 진출 가속화
( 보안 및 기타 영리 분야로의 대대적 진출)

 

* 구글등에 의한 Contents 제공 회사의 인프라 점유 확대 및 인프라에 대한 비용이 아닌 컨텐츠 제공에 따른 비용을 청구 받을 가능성 매우 증대

( 이런면에서 구글의 인프라 사업 진출 및 무선망 확대 사업은 매우 중요한 의미를 지님)

*손쉬운 IT 기업의 창업이 어려워짐

( 일정 규모 이상의 IT 대기업 출현으로 아이디어를 통한 신규 진출 및 창업이 어려워 질 것이며 인프라 및 보안 분야에 대한 일정 수준 이상의 요구를 맞추어야 함으로 더욱 더 어려워 질 것임. 보안 취약성은 기업의 규모를 가리지 않고 발견이 되고 있으며 일반 Application 발견 비율이 매우 높아 안전한 보안성을 지닌 소프트웨어 설계에는 매우 많은 비용이나 시간이 소요 되고 있음 )

* 세계적인 보안 부분 대기업 출현

시만텍 등의 보안 전문 출발 회사 부터 네트워크 부분의 시스코등에 의한 보안 분야 흡수 합병을 통한 거대 기업 출현으로 한 분야의 전문회사는 독창성이나 기술 모방성에 대해 독보적인 영역을 지니지 않는 이상 견디기 힘든 환경 지속될 것임.


위와 같이 아침에 번뜩 든 생각을 정리해 봤습니다.

짧은 생각이지만 참고 하시고 좋은 의견 있으시면 붙여 주세요.
 
-> 위의 내용이 2005년에 해랩 사이트에 올린 예상입니다. 얼마나 달라졌을까요? 그리고 지금은? 예상적중률은 어느정도? 

 지금은 거의 예상을 포기한 상태인데.. 위협은 2005년의 현실 인식이나 지금 2010년의 현실에서도 동일하며 더 가중 되어 있습니다. 대책 부분도 이미 6년이나 된 이야기 이지만 제대로 된 부분 있습니까?  지금도 필요하지만 논의는 산으로 가고 있습니다. 문제를 통찰하는 근본적인 인식을 가지거나 최소한 듣는 귀라도 가지기를 바라지만 여지껏 제대로 된 것은 없는 것 같습니다.

 

앞으로의 변화와 위험들은 지난 블로그 및 컬럼 글에서 지적한 대로 입니다. 야생의 시대로 완전한 돌입이 되겠습니다.

Posted by 바다란

댓글을 달아 주세요

 

최종 내용입니다. 이 부분은 향후의 위협 모델과 대응을 위한 결론 부분입니다.

다음에는 다른 주제로 만나 뵙도록 하겠습니다. 2007년도 고생 많으셨습니다. 올해는 좀 더 다른 방향의 시작이 될 것 같습니다.  감사합니다. - 어디 사용 하실때에는 항상 출처를..^^  p4ssion is never fade away!

 

 

■ Next Threat?

지금의 위협과 또 앞으로 다가올 위협들은 어떤 모습을 지니고 있을까? 또 어떤 방향에서의 흐름들이 지금 나타나고 있는지 간략하게 확인을 해볼 필요성이 있다. 방향성은 달라 질 수 있으나 지금까지의 발전 방향으로 보았을 때 유사 방향으로 진행 될 수 있을 것이다.

 

예상 중에 Application Web service Worm은 이미 2004년에 santty worm으로 인해 촉발이 된 상태이며 향후 더욱 심화될 것으로 판단된다. 특정 서비스에 국한된 Worm 이나 악성코드들도 이미 Myspace에서 출현이 되어 피해가 실제로 있었으며 Yahoo도 예외는 아니다.

 

Ubiquitous attack은 2007년 9월과 3월에 두 가지 경우를 대표적인 예로 들 수 있다. Libtiff 라이브러리의 취약성을 이용한 권한 획득 가능성 과 Ani cursor에 대한 문제를 이용한 권한 획득 가능성을 대표적으로 들 수 있으며 Libtiff 취약성은 Iphone , Mac등 Apple 관련된 제품에 전체적인 영향을 미치고 있고 Ani cursor는 win 3.1 부터 Vista까지를 모두 관통하는 문제라 할 수 있다. 즉 하나의 문제가 발견 되었을 경우 이 문제는 Application이 실행 될 수 있는 모든 운영체제 혹은 시스템에 문제를 일으킬 수 있으며 실제 영향을 미친다고 할 수 있다. 다양한 플랫폼과 다양한 프로토콜 , Ubiquitous와 같은 모든 한계와 관계없이 Application에 대한 취약성은 모든 것에 영향을 미친다는 것이다. 이미 실례로 보인 것과 마찬가지의 상황은 미래에서도 일반적이 될 것이다.

 

 

특정 서비스에 한정된 공격들도 다양한 유형을 볼 수 가 있으며 서비스의 확산에 따라 특정 서비스 부분 혹은 특정 회사에만 국한된 공격을 볼 수가 있다. 국지적인 공격이기는 하나 대상은 포괄적이며 광범위하다. 특정 지역에만 한정된 공격이 아니기에 더더욱 그러하다.

 

 

 

 

대표적으로 예를 들은 Myspace와 Yahoo 경우 모두 내부 서비스의 구조에 대해서 손쉽게 파악을 하고 구조적인 문제를 직접 활용 할 수 있도록 구조화된 것에 당했다고 할 수 있다. 더불어 주변 PC로 전파 시키는 것이 아니라 관계적인 측면을 공격하는 것을 통해 물리적인 통제 범위를 손쉽게 벗어날 수 있으며 추적이 매우 어려움을 충분히 예상 할 수 있다.

YH032.explr의 경우에는 채팅을 통해 악성코드를 채팅유저에 감염 시키고 메신저 리스트를 얻어와서 script worm을 재전송 시키게 되며 그 이후 사용자의 PC에 IE Icon을 가짜로 만들어 두고 사용자에게 악성코드 세트를 설치하도록 유도하고 있다. 즉 시스템적인 공격 보다는 서비스에 특화된 공격이 두 번 연이어 이어지고 있다는 점에 주목해야 된다.

 

AOL은 Instant Messenger관련된 공격과 Worm이 매우 많았다. 이 문제를 해결하기 위해 자사 서비스 이용자들에게 백신을 제공하고 있으며 MS의 경우에도 보안사업 진출을 하게 된 이유는 명확하다. 서비스를 유지 하기 위해서 보안은 필수적이며 충분한 시장성이 보이기 때문에 진출을 한 것뿐이다. 자사의 서비스의 Core 부분을 지키기 위해서도 반드시 필요한 부분이기에 더더욱 그러한 것이다.

 

 

 

■ 대책

지금까지 실례를 통한 발전된 웹의 위험성들에 대해서 언급을 하였다. 지금 우리가 사용하고 있는 모든 서비스들을 위험성 없이 유지하기 위해서는 다양한 문제점들을 제거 하여야 하고 위험성이 있는 부분을 사전에 찾아 낼 수 있도록 하는 많은 작업들이 필요로 한다. 이런 작업들이 이루어 지지 않은 소규모 서비스 업체들은 어려움을 겪을 수 밖에 없을 것이다. 이 문제는 비단 국내에 한정된 문제는 아니며 전 세계적인 IT서비스에 대한 이슈제기임을 이해해야 한다.

단순한 장비 도입을 통해 해결이 될 수 있는 수준은 아니며 Secure coding에 대한 인지도 확산과 Validation check의 강화 및 Monitoring , Technical Security의 강화를 통해서만이 이루어 질 수 있다. Web의 확산에 따른 상황별 대안을 간략하게 정리하면 다음과 같다.

  • 기술적인 관점
  • 사용자의 관점
  • 정책적, 국가 프로세스적 대응

위의 세 가지 큰 방향성에서 대책을 논의 할 수 있다. 개인정보보호는 다른 관점에서 취급되어야만 한다. 기둥이 없는데 지붕만 덩그러니 올릴 수는 없지 않은가? 지금은 기둥도 없는데 지붕을 먼저 올리는 형국과 다름이 없다고 개인적으로 보고 있다. 또한 본 문서에서 언급할 내용도 아니다.

개인정보보호가 중요한 테마이기는 하나 기반 되는 기술적인 보안이 없는 상태에서 통제만 된다는 것은 큰 방향성을 보지 못하는 우를 범하는 것과 마찬가지이다. 전 세계적인 위험과 취약성의 동향을 충분히 인지하고 현재의 우리 상태를 냉정하게 살펴보아야만 가능할 것이다. 단순히 제품을 팔고 인지도를 높이기 위한 그런 정도의 인식수준이라면 앞으로의 IT서비스의 미래는 장담하기 어려울 것이다.

 

 

● 기술적관점

- Filtering

- Platform의 체계화

- Monitoring

- 보안성 검수 ( Blackbox Test)

* Filtering

Filtering의 의미는 기술적인 의미로서 사용자가 제작하는 모든 것들에 대해 악의적인 코드들이 삽입 되어 있는 지를 검사해야 한다는 의미이다. ( 게시판, 게시물, 덧글 , 이미지, Flash, 동영상 …) 모든 사용자 저작물에 대해 기술적인 위험요소가 존재하는지 여부를 검토하는 것을 의미한다. 항목별로 보면 다음과 같은 유형이 가능하다.

  • . 광고 필터링
  • . ActiveX 포함한 악성코드 설치 유형의 필터링
  • . 악성코드가 설치 코드등이 포함된 이미지에 대한 필터링 이슈
  • . Flash , 동영상에 대한 악성코드 컨텐츠 필터링
  • . 욕설, 성인 관련물에 대한 정책적 필터링
  • . 악성코드, 해킹툴, Virus의 File upload에 대한 Filtering

*Platform의 체계화

Filtering 하는 시스템들을 서로 연관 되도록 하고 구조적으로 디자인 하여 운영함. 또한 전문 보안인력에 의한 운영과 합리적인 프로세스의 수립이 필요하다.

  • . 필터링 시스템에 대한 체계적인 구성
  • . 전체 사용자 입력부분에 대한 필터링 구조 수립
  • . 전문 인력의 연구와 조사에 의한 필터링 방식 및 Rule의 갱신과 추가
  • . 신규 필터링 이슈 발생시의 업무 분담 및 체계적인 대응 구조의 수립

위의 항목이 구체적으로 platform의 체계화에 포함되어야 하는 항목이며 모델을 대규모 서비스를 운영하는 비즈니스 조직 중심으로 업무를 나누어 본 것이다. Filtering 부분도 영역이 크긴 하나 가장 중점적인 서비스 부분에 최대화 시켜도 무방할 것이다.

 

 

* Monitoring

인력을 이용한 특정 이슈에 대한 집중 모니터링 또는 시스템에 의해 걸러지지 않은 사안의 발견, 신규 취약성에 대한 모니터링 관련된 이슈로 모니터링 항목이 필요하다고 판단된다.

각 항목별로 좀 더 세분화 시키면 다음과 같다.

  • . 동영상에 대한 모니터링 (성인물 , 악성코드 설치, 팝업 유형)
  • . 비정상 행위에 대한 특이사항 모니터링 – 신규유형 탐지
  • . 개인정보 침해 사안에 대한 직접 모니터링
  • . Filtering 이후의 결과에 대한 모니터링
  • . 전문인력에 의한 신규 취약성 전문 모니터링
  • . 고객의 불만 및 신고에 대한 대응
  • . 시스템 및 서비스별 로그에 대한 모니터링을 통해 비정상 행위의 탐지

 

* 보안성검수 ( Penetration Test)

 

가장 중요한 전제이지만 아무리 프로세스가 있다고 하여도 프로세스를 감당하고 실행할 만한 인력이 존재하여야 한다. 보안성 검수를 수행 할 수 있는 인력은 그리 많지 않으며 전체를 볼 수 있는 인력이 각 부분별로 능력에 따라 적절하게 조율하는 것이 가장 바람직해 보인다.

Web Application의 경우 사용자에게 노출 되는 범위가 많음으로 인해 사용자의 접근성이 보장되고 활동이 이루어지는 모든 부분에 대해서 보안상의 위험이 있는지 없는지 검토가 되어야 되며 이후 발견되는 새로운 취약성 이슈에 대해서도 지속적인 활동이 되어야만 한다..

 

모든 보안 이슈에 대해서 이해 하는 인력을 찾는 다는 것은 불가능하다. 다만 중요한 관점은 특정 서비스 분야에 대한 위협이 가중되고 있는 상황에서 서비스에 익숙한 전문 보안 인력이 존재하는 것과 없는 것의 차이는 실행력과 노력, 비용 측면에서 시간이 지날수록 현격한 차이를 보이게 될 것이다.

 

전문적인 기술 보유 여부와는 관련 없이 실행되는 프로세스에 대한 설명만을 통해 모든 Application 개발단위에 있어서 필요한 보안성 검수가 어떤 방향으로 진행 되어야 하는지 인지가 필요하며 개발주기가 매우 짧은 Web Application의 경우 SDLC의 적용도 중요하나 소스코드 또는 테스트 단계에서 문제를 확인 할 수 있는 보안성검수(Fast Penetration Test)의 중요성도 더욱 높다고 할 수 있다.

 

 

위의 그림은 보안검수에 관련된 일반적인 프로세스 이다.

IT 보안 관련된 부서에서 모든 부분에 대해서 접촉을 유지하고 문제에 대해서 파악을 하는 것이 필요하다. 이런 유형의 업무 프로세스는 보안 인력 풀이 풍부하고 시간 계획이 일정상 여유가 있는 부분에서는 가능하다. 그러나 Web Application과 같이 개발주기가 짧고 변경이 잦은 상태에서는 IT 보안 관련된 부서에서 많은 업무들이 지체 될 수 밖에 없다. 보다 더 서비스 친화적인 보안 서비스 모델을 구축 하는 것이 필요하며 Web service가 일반화된 기업이라면 고민 해볼 필요성이 있는 모델이다.

 

위의 이미지는 QA에서 잦은 변경과 같은 History 관리를 전담하여 전체적인 서비스의 안정성을 포함시키고 보안 관련 부서는 전문 분야를 진행하면 되는 역할 분담을 통해 빠른 서비스 안정화가 가능하다고 판단된다. 진단의 경우에도 신규 개발되는 Application을 위한 보안 점검이 있을 수 있고 이미 운영중인 서비스들을 위한 진단이 있을 수 있다. 두 가지 유형은 다른 관점에서 접근을 해야 하며 프로세스는 다음과 같다.

(* IT 서비스를 위한 위협의 제거를 위해 고안한 프로세스이며 적용결과 가장 유효한 모델이라고 생각 된다.)

 

정기 점검의 경우에는 보안 분서에서 플랜을 수립한 이후 전문지식을 이용하여 진단을 수행하고 이후의 안정성 강화 및 플랜 관리 측면은 Quality Assurance 부서에서 담당을 하여 전체적인 서비스 안정성을 높이는 것이 가장 이상적이라 할 수 있다.

 

기존의 많은 서비스 기업의 경우에도 전담 보안 부서가 없는 경우에는 외부 Outsourcing을 이용하기도 하는데 인력이 가장 중요한 부분이며 전체를 점검 하는 프로세스와 신규 개발되는 서비스에 대한 보안성 강화 프로세스를 동시에 운영함으로써 모든 서비스 부분에 대한 안정성을 높일 수 있다. 여기에 보안성검수를 수행하는 인력의 능력치가 높으면 높을수록 모든 서비스에 대한 안정성 수준은 세계적인 수준이 된다.

 

 

개인 PC 차원의 보호 방안의 경우는 항상 반복되는 이야기가 계속 나올 수 밖에 없다.

- phishing 주의 ( 메일 , 링크)

- 첨부파일에 대한 주의를 높일 것 ( Zeroday worm , Office 관련 웜)

- 보안 패치와 Antivirus를 이용한 기본적인 위험요소의 제거

- ActiveX의 시스템 설치를 제한

- 주기적인 패스워드 변경

- 신뢰할 수 있는 기관의 보안 설정 설치

- 사이트별 중요도에 따른 보안 정보 관리 마인드 ( 패스워드 등)

 

 

정책적이고 큰 규모에서의 프로세스적인 방안의 대응으로는 좀 더 다른 논의가 가능하나 본 문서에서 강조하여 언급한 부분은 아니라고 여겨진다. 필수적인 부분만을 간략히 언급하면 다음과 같다.

 

- 보안전문 인력의 활성화 및 효율화 방안 수립과 이행

- 모니터링 및 필터링에 대한 방안 수립 권고

- 중소규모 서비스 업을 위해 보안성검수의 집중 운영 필요성

- Secure coding을 위한 Template과 개선 가이드 필요

- ISO 27001, ISMS와 같은 여러 인증을 시대와 정보의 흐름에 맞게 활용

- White List의 관리 ( Site, Program 등등)

   - Web Application의 문제 해결을 위한 진단 스캐너 개발 및 보급 필요

 

어느 것 하나 손쉽게 되는 것은 없으나 하지 않으면 안되는 상황이다.

 

 

 

■ 결론

 

위험은 지속된다. Web은 현재 고정된 유형이 아니며 앞으로도 빠른 속도로 발전 할 수 밖에 없다. Web 2.0 이라고 지칭하는 모든 유형들도 사용자의 접근성을 강화하고 새로운 유형의 지식 관계를 형성하는 서비스라고 볼 수 있다. 그만큼 사용자 간의 거리와 간격은 더욱 좁혀진다. 종래에는 언어의 구별을 넘어선 진정한 지구촌 커뮤니티가 형성 될 것이다. 이때에도 가장 큰 역할 을 담당하는 도구는 Web이 될 것임은 분명하다. 이런 노출된 메소드들에 존재하는 위험들은 지금 보다는 앞으로가 더 심각해 질 것이고 위험하다 할 수 있다. 위험은 계속된다. Web의 발전만큼 위험요소들도 발전 하는 것이다. 편리함의 이면에는 또 다른 위험이 항상 존재하듯이 지금도 불안한 걸음을 계속 걷게 되는 것이다.

 

“인간적인 너무나 인간적인” 참여는 현재 진행형이고 앞으로 더 진행 될 것으로 예상 된다. 더불어 Service에 특화된 Application 공격은 일반적으로 발생하고 세계적으로 발생 될 것이다. 이때의 상황에 직면해서는 기술적인 보안의 중요성을 각 서비스 기업들마다 뼈저리게 느끼게 될 것이다. 아마 지금도 느끼고 있겠지만 앞으로는 더 심해질 것이다. 보안에 투자하여 역량 있는 인력들을 지속적으로 키우지 못하는 이상 앞으로는 세계를 무대로 한 서비스는 성공하기 힘들 것이다. 이 말의 의미는 시간이 지날수록 체감 할 것이다.

 

 

■ 참고자료

[1] http://blog.naver.com/p4ssion

[2] Gartner Survey, 2005

[3]www.securityfocus.com/

[4]http://ha.ckers.org/blog/20060704/cross-site-scripting-vulnerability-in-google/

[5] www.owasp.org

[6] www.krcert.or.kr

[7] web2.wsj2.com - Web 2.0 관련 자료

[8] www.cert.org - 취약성 현황 자료인용

Posted by 바다란

댓글을 달아 주세요

 

최종 내용입니다. 이 부분은 향후의 위협 모델과 대응을 위한 결론 부분입니다.

다음에는 다른 주제로 만나 뵙도록 하겠습니다. 2007년도 고생 많으셨습니다. 올해는 좀 더 다른 방향의 시작이 될 것 같습니다.  감사합니다. - 어디 사용 하실때에는 항상 출처를..^^  p4ssion is never fade away!

 

 

■ Next Threat?

지금의 위협과 또 앞으로 다가올 위협들은 어떤 모습을 지니고 있을까? 또 어떤 방향에서의 흐름들이 지금 나타나고 있는지 간략하게 확인을 해볼 필요성이 있다. 방향성은 달라 질 수 있으나 지금까지의 발전 방향으로 보았을 때 유사 방향으로 진행 될 수 있을 것이다.

 

예상 중에 Application Web service Worm은 이미 2004년에 santty worm으로 인해 촉발이 된 상태이며 향후 더욱 심화될 것으로 판단된다. 특정 서비스에 국한된 Worm 이나 악성코드들도 이미 Myspace에서 출현이 되어 피해가 실제로 있었으며 Yahoo도 예외는 아니다.

 

Ubiquitous attack은 2007년 9월과 3월에 두 가지 경우를 대표적인 예로 들 수 있다. Libtiff 라이브러리의 취약성을 이용한 권한 획득 가능성 과 Ani cursor에 대한 문제를 이용한 권한 획득 가능성을 대표적으로 들 수 있으며 Libtiff 취약성은 Iphone , Mac등 Apple 관련된 제품에 전체적인 영향을 미치고 있고 Ani cursor는 win 3.1 부터 Vista까지를 모두 관통하는 문제라 할 수 있다. 즉 하나의 문제가 발견 되었을 경우 이 문제는 Application이 실행 될 수 있는 모든 운영체제 혹은 시스템에 문제를 일으킬 수 있으며 실제 영향을 미친다고 할 수 있다. 다양한 플랫폼과 다양한 프로토콜 , Ubiquitous와 같은 모든 한계와 관계없이 Application에 대한 취약성은 모든 것에 영향을 미친다는 것이다. 이미 실례로 보인 것과 마찬가지의 상황은 미래에서도 일반적이 될 것이다.

 

 

특정 서비스에 한정된 공격들도 다양한 유형을 볼 수 가 있으며 서비스의 확산에 따라 특정 서비스 부분 혹은 특정 회사에만 국한된 공격을 볼 수가 있다. 국지적인 공격이기는 하나 대상은 포괄적이며 광범위하다. 특정 지역에만 한정된 공격이 아니기에 더더욱 그러하다.

 

 

 

 

대표적으로 예를 들은 Myspace와 Yahoo 경우 모두 내부 서비스의 구조에 대해서 손쉽게 파악을 하고 구조적인 문제를 직접 활용 할 수 있도록 구조화된 것에 당했다고 할 수 있다. 더불어 주변 PC로 전파 시키는 것이 아니라 관계적인 측면을 공격하는 것을 통해 물리적인 통제 범위를 손쉽게 벗어날 수 있으며 추적이 매우 어려움을 충분히 예상 할 수 있다.

YH032.explr의 경우에는 채팅을 통해 악성코드를 채팅유저에 감염 시키고 메신저 리스트를 얻어와서 script worm을 재전송 시키게 되며 그 이후 사용자의 PC에 IE Icon을 가짜로 만들어 두고 사용자에게 악성코드 세트를 설치하도록 유도하고 있다. 즉 시스템적인 공격 보다는 서비스에 특화된 공격이 두 번 연이어 이어지고 있다는 점에 주목해야 된다.

 

AOL은 Instant Messenger관련된 공격과 Worm이 매우 많았다. 이 문제를 해결하기 위해 자사 서비스 이용자들에게 백신을 제공하고 있으며 MS의 경우에도 보안사업 진출을 하게 된 이유는 명확하다. 서비스를 유지 하기 위해서 보안은 필수적이며 충분한 시장성이 보이기 때문에 진출을 한 것뿐이다. 자사의 서비스의 Core 부분을 지키기 위해서도 반드시 필요한 부분이기에 더더욱 그러한 것이다.

 

 

 

■ 대책

지금까지 실례를 통한 발전된 웹의 위험성들에 대해서 언급을 하였다. 지금 우리가 사용하고 있는 모든 서비스들을 위험성 없이 유지하기 위해서는 다양한 문제점들을 제거 하여야 하고 위험성이 있는 부분을 사전에 찾아 낼 수 있도록 하는 많은 작업들이 필요로 한다. 이런 작업들이 이루어 지지 않은 소규모 서비스 업체들은 어려움을 겪을 수 밖에 없을 것이다. 이 문제는 비단 국내에 한정된 문제는 아니며 전 세계적인 IT서비스에 대한 이슈제기임을 이해해야 한다.

단순한 장비 도입을 통해 해결이 될 수 있는 수준은 아니며 Secure coding에 대한 인지도 확산과 Validation check의 강화 및 Monitoring , Technical Security의 강화를 통해서만이 이루어 질 수 있다. Web의 확산에 따른 상황별 대안을 간략하게 정리하면 다음과 같다.

  • 기술적인 관점
  • 사용자의 관점
  • 정책적, 국가 프로세스적 대응

위의 세 가지 큰 방향성에서 대책을 논의 할 수 있다. 개인정보보호는 다른 관점에서 취급되어야만 한다. 기둥이 없는데 지붕만 덩그러니 올릴 수는 없지 않은가? 지금은 기둥도 없는데 지붕을 먼저 올리는 형국과 다름이 없다고 개인적으로 보고 있다. 또한 본 문서에서 언급할 내용도 아니다.

개인정보보호가 중요한 테마이기는 하나 기반 되는 기술적인 보안이 없는 상태에서 통제만 된다는 것은 큰 방향성을 보지 못하는 우를 범하는 것과 마찬가지이다. 전 세계적인 위험과 취약성의 동향을 충분히 인지하고 현재의 우리 상태를 냉정하게 살펴보아야만 가능할 것이다. 단순히 제품을 팔고 인지도를 높이기 위한 그런 정도의 인식수준이라면 앞으로의 IT서비스의 미래는 장담하기 어려울 것이다.

 

 

● 기술적관점

- Filtering

- Platform의 체계화

- Monitoring

- 보안성 검수 ( Blackbox Test)

* Filtering

Filtering의 의미는 기술적인 의미로서 사용자가 제작하는 모든 것들에 대해 악의적인 코드들이 삽입 되어 있는 지를 검사해야 한다는 의미이다. ( 게시판, 게시물, 덧글 , 이미지, Flash, 동영상 …) 모든 사용자 저작물에 대해 기술적인 위험요소가 존재하는지 여부를 검토하는 것을 의미한다. 항목별로 보면 다음과 같은 유형이 가능하다.

  • . 광고 필터링
  • . ActiveX 포함한 악성코드 설치 유형의 필터링
  • . 악성코드가 설치 코드등이 포함된 이미지에 대한 필터링 이슈
  • . Flash , 동영상에 대한 악성코드 컨텐츠 필터링
  • . 욕설, 성인 관련물에 대한 정책적 필터링
  • . 악성코드, 해킹툴, Virus의 File upload에 대한 Filtering

*Platform의 체계화

Filtering 하는 시스템들을 서로 연관 되도록 하고 구조적으로 디자인 하여 운영함. 또한 전문 보안인력에 의한 운영과 합리적인 프로세스의 수립이 필요하다.

  • . 필터링 시스템에 대한 체계적인 구성
  • . 전체 사용자 입력부분에 대한 필터링 구조 수립
  • . 전문 인력의 연구와 조사에 의한 필터링 방식 및 Rule의 갱신과 추가
  • . 신규 필터링 이슈 발생시의 업무 분담 및 체계적인 대응 구조의 수립

위의 항목이 구체적으로 platform의 체계화에 포함되어야 하는 항목이며 모델을 대규모 서비스를 운영하는 비즈니스 조직 중심으로 업무를 나누어 본 것이다. Filtering 부분도 영역이 크긴 하나 가장 중점적인 서비스 부분에 최대화 시켜도 무방할 것이다.

 

 

* Monitoring

인력을 이용한 특정 이슈에 대한 집중 모니터링 또는 시스템에 의해 걸러지지 않은 사안의 발견, 신규 취약성에 대한 모니터링 관련된 이슈로 모니터링 항목이 필요하다고 판단된다.

각 항목별로 좀 더 세분화 시키면 다음과 같다.

  • . 동영상에 대한 모니터링 (성인물 , 악성코드 설치, 팝업 유형)
  • . 비정상 행위에 대한 특이사항 모니터링 – 신규유형 탐지
  • . 개인정보 침해 사안에 대한 직접 모니터링
  • . Filtering 이후의 결과에 대한 모니터링
  • . 전문인력에 의한 신규 취약성 전문 모니터링
  • . 고객의 불만 및 신고에 대한 대응
  • . 시스템 및 서비스별 로그에 대한 모니터링을 통해 비정상 행위의 탐지

 

* 보안성검수 ( Penetration Test)

 

가장 중요한 전제이지만 아무리 프로세스가 있다고 하여도 프로세스를 감당하고 실행할 만한 인력이 존재하여야 한다. 보안성 검수를 수행 할 수 있는 인력은 그리 많지 않으며 전체를 볼 수 있는 인력이 각 부분별로 능력에 따라 적절하게 조율하는 것이 가장 바람직해 보인다.

Web Application의 경우 사용자에게 노출 되는 범위가 많음으로 인해 사용자의 접근성이 보장되고 활동이 이루어지는 모든 부분에 대해서 보안상의 위험이 있는지 없는지 검토가 되어야 되며 이후 발견되는 새로운 취약성 이슈에 대해서도 지속적인 활동이 되어야만 한다..

 

모든 보안 이슈에 대해서 이해 하는 인력을 찾는 다는 것은 불가능하다. 다만 중요한 관점은 특정 서비스 분야에 대한 위협이 가중되고 있는 상황에서 서비스에 익숙한 전문 보안 인력이 존재하는 것과 없는 것의 차이는 실행력과 노력, 비용 측면에서 시간이 지날수록 현격한 차이를 보이게 될 것이다.

 

전문적인 기술 보유 여부와는 관련 없이 실행되는 프로세스에 대한 설명만을 통해 모든 Application 개발단위에 있어서 필요한 보안성 검수가 어떤 방향으로 진행 되어야 하는지 인지가 필요하며 개발주기가 매우 짧은 Web Application의 경우 SDLC의 적용도 중요하나 소스코드 또는 테스트 단계에서 문제를 확인 할 수 있는 보안성검수(Fast Penetration Test)의 중요성도 더욱 높다고 할 수 있다.

 

 

위의 그림은 보안검수에 관련된 일반적인 프로세스 이다.

IT 보안 관련된 부서에서 모든 부분에 대해서 접촉을 유지하고 문제에 대해서 파악을 하는 것이 필요하다. 이런 유형의 업무 프로세스는 보안 인력 풀이 풍부하고 시간 계획이 일정상 여유가 있는 부분에서는 가능하다. 그러나 Web Application과 같이 개발주기가 짧고 변경이 잦은 상태에서는 IT 보안 관련된 부서에서 많은 업무들이 지체 될 수 밖에 없다. 보다 더 서비스 친화적인 보안 서비스 모델을 구축 하는 것이 필요하며 Web service가 일반화된 기업이라면 고민 해볼 필요성이 있는 모델이다.

 

위의 이미지는 QA에서 잦은 변경과 같은 History 관리를 전담하여 전체적인 서비스의 안정성을 포함시키고 보안 관련 부서는 전문 분야를 진행하면 되는 역할 분담을 통해 빠른 서비스 안정화가 가능하다고 판단된다. 진단의 경우에도 신규 개발되는 Application을 위한 보안 점검이 있을 수 있고 이미 운영중인 서비스들을 위한 진단이 있을 수 있다. 두 가지 유형은 다른 관점에서 접근을 해야 하며 프로세스는 다음과 같다.

(* IT 서비스를 위한 위협의 제거를 위해 고안한 프로세스이며 적용결과 가장 유효한 모델이라고 생각 된다.)

 

정기 점검의 경우에는 보안 분서에서 플랜을 수립한 이후 전문지식을 이용하여 진단을 수행하고 이후의 안정성 강화 및 플랜 관리 측면은 Quality Assurance 부서에서 담당을 하여 전체적인 서비스 안정성을 높이는 것이 가장 이상적이라 할 수 있다.

 

기존의 많은 서비스 기업의 경우에도 전담 보안 부서가 없는 경우에는 외부 Outsourcing을 이용하기도 하는데 인력이 가장 중요한 부분이며 전체를 점검 하는 프로세스와 신규 개발되는 서비스에 대한 보안성 강화 프로세스를 동시에 운영함으로써 모든 서비스 부분에 대한 안정성을 높일 수 있다. 여기에 보안성검수를 수행하는 인력의 능력치가 높으면 높을수록 모든 서비스에 대한 안정성 수준은 세계적인 수준이 된다.

 

 

개인 PC 차원의 보호 방안의 경우는 항상 반복되는 이야기가 계속 나올 수 밖에 없다.

- phishing 주의 ( 메일 , 링크)

- 첨부파일에 대한 주의를 높일 것 ( Zeroday worm , Office 관련 웜)

- 보안 패치와 Antivirus를 이용한 기본적인 위험요소의 제거

- ActiveX의 시스템 설치를 제한

- 주기적인 패스워드 변경

- 신뢰할 수 있는 기관의 보안 설정 설치

- 사이트별 중요도에 따른 보안 정보 관리 마인드 ( 패스워드 등)

 

 

정책적이고 큰 규모에서의 프로세스적인 방안의 대응으로는 좀 더 다른 논의가 가능하나 본 문서에서 강조하여 언급한 부분은 아니라고 여겨진다. 필수적인 부분만을 간략히 언급하면 다음과 같다.

 

- 보안전문 인력의 활성화 및 효율화 방안 수립과 이행

- 모니터링 및 필터링에 대한 방안 수립 권고

- 중소규모 서비스 업을 위해 보안성검수의 집중 운영 필요성

- Secure coding을 위한 Template과 개선 가이드 필요

- ISO 27001, ISMS와 같은 여러 인증을 시대와 정보의 흐름에 맞게 활용

- White List의 관리 ( Site, Program 등등)

   - Web Application의 문제 해결을 위한 진단 스캐너 개발 및 보급 필요

 

어느 것 하나 손쉽게 되는 것은 없으나 하지 않으면 안되는 상황이다.

 

 

 

■ 결론

 

위험은 지속된다. Web은 현재 고정된 유형이 아니며 앞으로도 빠른 속도로 발전 할 수 밖에 없다. Web 2.0 이라고 지칭하는 모든 유형들도 사용자의 접근성을 강화하고 새로운 유형의 지식 관계를 형성하는 서비스라고 볼 수 있다. 그만큼 사용자 간의 거리와 간격은 더욱 좁혀진다. 종래에는 언어의 구별을 넘어선 진정한 지구촌 커뮤니티가 형성 될 것이다. 이때에도 가장 큰 역할 을 담당하는 도구는 Web이 될 것임은 분명하다. 이런 노출된 메소드들에 존재하는 위험들은 지금 보다는 앞으로가 더 심각해 질 것이고 위험하다 할 수 있다. 위험은 계속된다. Web의 발전만큼 위험요소들도 발전 하는 것이다. 편리함의 이면에는 또 다른 위험이 항상 존재하듯이 지금도 불안한 걸음을 계속 걷게 되는 것이다.

 

“인간적인 너무나 인간적인” 참여는 현재 진행형이고 앞으로 더 진행 될 것으로 예상 된다. 더불어 Service에 특화된 Application 공격은 일반적으로 발생하고 세계적으로 발생 될 것이다. 이때의 상황에 직면해서는 기술적인 보안의 중요성을 각 서비스 기업들마다 뼈저리게 느끼게 될 것이다. 아마 지금도 느끼고 있겠지만 앞으로는 더 심해질 것이다. 보안에 투자하여 역량 있는 인력들을 지속적으로 키우지 못하는 이상 앞으로는 세계를 무대로 한 서비스는 성공하기 힘들 것이다. 이 말의 의미는 시간이 지날수록 체감 할 것이다.

 

 

■ 참고자료

[1] http://blog.naver.com/p4ssion

[2] Gartner Survey, 2005

[3]www.securityfocus.com/

[4]http://ha.ckers.org/blog/20060704/cross-site-scripting-vulnerability-in-google/

[5] www.owasp.org

[6] www.krcert.or.kr

[7] web2.wsj2.com - Web 2.0 관련 자료

[8] www.cert.org - 취약성 현황 자료인용

Posted by 바다란

댓글을 달아 주세요